21 сентября, вторник 05:08
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Нормативные документы ФСБ России по персональным данным

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Нормативные документы ФСБ России по персональным данным

    Уважаемые участники форума!
    Руководство санкционировало неофициальное обращение к пользователям документов ФСБ России по персональным данным с просьбой сообщить замечания к этим документам на мой личный e-mail (uvt4@mail.ru). Цель - максимальный охват пользователей и оперативное получение и учет замечаний практиков в условиях сжатых сроков подготовки новых редакций этих документов.
    Буду искренне признателен приславшим свои предложения в срок до 10 июня.
    Просьба присылать замечания конкретные и адресные (раздел, пункт, абзац...). Замечания в стиле "А мне не нравится" рассматриваться не будут. Вопросы, не связанные с указанными документами, также рассматриваться не будут (извините, в условиях "запарки" не до отвлечений).
    Ю. Тачков

  • #2
    ух ты! не уж-то услышали? ))
    Коллеги! ну-ка дружно навались на замечания, пожалуйста! )

    Комментарий


    • #3
      Сообщение от xell Посмотреть сообщение
      ух ты! не уж-то услышали? ))
      Коллеги! ну-ка дружно навались на замечания, пожалуйста! )
      Спокойнее, товарищ, за вами уже выехали

      Первая волна замечаний была еще до майских праздников. Я так понимаю, Юрий Владимирович пытается охватить как можно большую аудиторию, что радует

      Так что я бы посоветовал ему посодействовать

      Комментарий


      • #4
        Судя по этому комментарию, первая волна замечаний не состоялась.
        Рискуем профукать, наверное, последнюю возможность высказаться и повлиять на текст документов.

        Документы здесь:
        http://zki.infosec.ru/law/personal/doc/140/
        http://zki.infosec.ru/law/personal/doc/139/

        Комментарий


        • #5
          Сообщение от sunny Посмотреть сообщение
          Судя по этому комментарию, первая волна замечаний не состоялась.


          "May 4
          Спасибо за замечания. Оба приняты в работу. С уважением, Ю. Тачков"

          Комментарий


          • #6
            Тачков Ю.В., Набрел на эту тему (давно сюда не заглядывал) и считаю что замысел верный. Вот только, наверное, шквала конкретных предложений и пожеланий ждать не стоит, ибо для этого надо кропотливо все вычитать, провести довольно объемную работу, а по тому как написали здесь http://www.itsec.ru/forum.php?sub=3198&from=0
            "Обосновать можно что угодно - вопрос зачем?
            Чтобы кому-то в конторе легче жилось?
            Личный молчаливый подвиг гр. Тачкова граждане не оценят...пусть он внятно изложит что и как.
            Или это такая тайна... тогда я лично пас.
            Если не тайна , то пусть деньги предложит (за написанную станицу текста) - подумаем вместе"
            - настроения вносить предложения особого нет.
            Последний раз редактировалось medved35-09; 31.05.2009, 20:24.

            Комментарий


            • #7
              Тачков Ю.В., Набрел на эту тему (давно сюда не заглядывал) и считаю что замысел верный. Вот только, наверное, шквала конкретных предложений и пожеланий ждать не стоит, ибо для этого надо кропотливо все вычитать, провести довольно объемную работу, а по тому как написали здесь http://www.itsec.ru/forum.php?sub=3198&from=0
              "Обосновать можно что угодно - вопрос зачем?
              Чтобы кому-то в конторе легче жилось?
              Личный молчаливый подвиг гр. Тачкова граждане не оценят...пусть он внятно изложит что и как.
              Или это такая тайна... тогда я лично пас.
              Если не тайна , то пусть деньги предложит (за написанную станицу текста) - подумаем вместе"
              - настроения вносить предложения особого нет.


              1. Свое обращение я адресовал к тем, кто уже использует или в будущем будет руководствоваться документами ФСБ России по персональным данным. Мнение праздных аналитиков или желающих подзаработать нас не очень интересует. Не будет предложений, нам же легче. За нас не волнуйтесь, мы справимся. Только в задачке спрашивается: "А кто выиграет в итоге?".
              2. В "первой волне" предложений действительно мало. У меня самого их гораздо больше, чем у всех приславших вместе. Ну и что? См. п. 1

              С уважением, Ю. Тачков
              Последний раз редактировалось Тачков Ю.В.; 01.06.2009, 13:48. Причина: пропуск слов

              Комментарий


              • #8
                Я согласен с ФСБ ;-) Мы сейчас готовим предложения. Не факт, что их примут, конечно, но зато потом нам не придется краснеть при вопросе: "А вы вместо того, чтобы критиковать, что-то пытались сделать?"

                Комментарий


                • #9
                  Сообщение от Тачков Ю.В. Посмотреть сообщение
                  Руководство санкционировало неофициальное обращение к пользователям документов ФСБ России по персональным данным с просьбой сообщить замечания к этим документам на мой личный e-mail (uvt4@mail.ru). Цель - максимальный охват пользователей и оперативное получение и учет замечаний практиков в условиях сжатых сроков подготовки новых редакций этих документов.
                  Хотелось бы получить уточнение по цели, которую будут обеспечивать данные документы:
                  - если это "поставить под контроль всю криптографию, которая производится в России", или, что еще хуже, "нагнуть" всех (или некоторых) операторов ПД - тогда нет никакого желания помогать
                  - если это создание вменяемой защиты ПД или, вообще, вменяемой защиты конфиденциальной информации - тогда есть смысл. Но и предложения будут направлены на это же.

                  Комментарий


                  • #10
                    Сообщение от Toparenko Посмотреть сообщение
                    - если это поставить под контроль всю криптографию, которая производится в России", или, что еще хуже, "нагнуть" всех (или некоторых) операторов ПД - тогда нет никакого желания помогать
                    А для этого есть другие методы, куда более простые, чем ПДн ;-) Я уже как-то упоминал в форуме про проект одного нормативного акта, который нагнет всех и сразу и без разбору ;-)

                    Исходите из второй цели. К тому же ваши предложения в любом случае будут касаться оптимизации усилий оператора ПДн в части криптографии, но никак не ужесточения ;-)

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      А для этого есть другие методы, куда более простые, чем ПДн ;-)
                      Я не зря ставил цитату и гиперссылку
                      См. предпоследний абзац ссылки...
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Я уже как-то упоминал в форуме про проект одного нормативного акта, который нагнет всех и сразу и без разбору ;-)
                      И все уйдут в офшор и "выкрутятся"

                      Комментарий


                      • #12
                        Сообщение от Toparenko Посмотреть сообщение
                        И все уйдут в офшор и "выкрутятся"
                        Все не уйдут ;-) Не успеют ;-)

                        Комментарий


                        • #13
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          Все не уйдут ;-) Не успеют ;-)
                          Естественно

                          Кому-то придется стать той "телкой", которую "отымеет молодой бычок, не послушавший старого быка". Но толку от этого все равно не будет т.к. "все остальное стадо убежит под других пастухов"...

                          Комментарий


                          • #14
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            Все не уйдут ;-) Не успеют ;-)
                            Кое-кто уже заранее об этом позаботился
                            Основной массив информации российских перевозчиков хранится в зарубежных системах SABRE, Amadeus, Gabriel. Небольшая часть ресурсов, преимущественно небольших перевозчиков, хранится в российских системах Сирена-2000 и Сирена 2.3.

                            Комментарий


                            • #15
                              Хотелось бы получить уточнение по цели, которую будут обеспечивать данные документы:
                              - если это "поставить под контроль всю криптографию, которая производится в России", или, что еще хуже, "нагнуть" всех (или некоторых) операторов ПД - тогда нет никакого желания помогать
                              - если это создание вменяемой защиты ПД или, вообще, вменяемой защиты конфиденциальной информации - тогда есть смысл. Но и предложения будут направлены на это же.

                              1. Времени Вам своего (и чужого) не жаль. Где Вы видели в документах слова "порставить под контроль всю криптографию, которая производится в России"? А почему только производимой? А ввозимой? А самоделки? А почему только в России? Чего себя ограничивать в фантазиях?
                              2. Именно вменяемой, с учетом накопленного опыта и только в том случае, когда САМ оператор определит необходимость применения криптосредств исходя из сформированной ИМ модели угроз.

                              Комментарий


                              • #16
                                Сообщение от Тачков Ю.В. Посмотреть сообщение
                                1. Времени Вам своего (и чужого) не жаль.
                                Вот именно, что жаль
                                Сообщение от Тачков Ю.В. Посмотреть сообщение
                                Где Вы видели в документах слова "порставить под контроль всю криптографию, которая производится в России"? А почему только производимой? А ввозимой? А самоделки? А почему только в России? Чего себя ограничивать в фантазиях?
                                Еще раз даю "откуда дровишки": www.finansmag.ru
                                Выступление в рамках Недели российского бизнеса, организованной РСПП Леонида Беляева, начальника отдела Центра лицензирования, сертификации и защиты государственной тайны ФСБ. Даю последний абзац сообщения полностью (полужирным шрифтом выделил мной процитированное):
                                Одновременно надо поставить под контроль всю криптографию, которая производится в России. Для этого был полностью переработан указ от 3 апреля 1995 года № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». Чтобы исключить проникновение иностранной криптографии на наш рынок, особенно на критически важные объекты, как можно больше расширены направления использования российских сертифицированных средств. Проект указа уже находится в правительстве. Есть надежда, что в ближайшее время документ примут, и им можно будет руководствоваться. Конечно, это не последний шаг в области обеспечения информационной безопасности, а промежуточный. Но он позволит сделать принципы ввоза и использования средств защиты прозрачными и повысить контроль над ними.
                                IMO: даже если так, то думайте, что и где говорите.
                                Если переврали журналисты - "Вам и карты в руки (с)"
                                Сообщение от Тачков Ю.В. Посмотреть сообщение
                                2. Именно вменяемой, с учетом накопленного опыта и только в том случае, когда САМ оператор определит необходимость применения криптосредств исходя из сформированной ИМ модели угроз.
                                Тогда надо делать действительно открытое обсуждение.
                                Те, кто будут принимать участие, будут это делать за счет собственного времени или времени работодателя - и, соответственно, с них никто не будет снимать их основные задачи.

                                Времени действительно жалко. А потому не у всех появится желание править документ нижнего уровня, когда необходимо править концепцию. Да и повторять то, что уже отметили другие, упуская при этом не раскрытые вопросы...

                                Комментарий


                                • #17
                                  Сообщение от Toparenko Посмотреть сообщение
                                  Кое-кто уже заранее об этом позаботился
                                  И что? Передеча ПДн остается? Да. Следовательно, попали под раздачу ;-)

                                  Комментарий


                                  • #18
                                    Сообщение от Toparenko Посмотреть сообщение
                                    Выступление в рамках Недели российского бизнеса, организованной РСПП Леонида Беляева, начальника отдела Центра лицензирования, сертификации и защиты государственной тайны ФСБ. Даю последний абзац сообщения полностью (полужирным шрифтом выделил мной процитированное)
                                    Ну что вы как дети?.. Контроль - это не запрет. Контроль криптографии - это нормальное явление в любой цивилизованной стране. У нас также в России есть контроль и запрет продажи "нелицензионного" алкоголя. И что? Хороший продают, с плохим борются. И никто не считает свои права ущемленными. Тоже будет и с криптухой.

                                    ЗЫ. Правда, надо признать, что при продаже алкоголя никто не спрашивает кому его продают ;-)

                                    Комментарий


                                    • #19
                                      Сообщение от Тачков Ю.В. Посмотреть сообщение
                                      2. Именно вменяемой, с учетом накопленного опыта и только в том случае, когда САМ оператор определит необходимость применения криптосредств исходя из сформированной ИМ модели угроз.
                                      По концепции.

                                      Существующие системы создавались в условиях, когда 20 лет вопрос не регулировался "по человечески". Резким "закручиванием гаек" Вы (регуляторы) только "сорвете резьбу" и будет по Черномырдину "Хотели как лучше... А получилось - как всегда (с)"

                                      Предлагаю:
                                      1. Не гнаться за быстрым результатом и/или "быстрыми деньгами".
                                      2. Создать необходимый информационный фон. Преодолейте наконец информационный вброс 90-х о "всевидящем оке кровавой гэбни™"
                                      3. Дать "пряник" пользователям сертифицированных средств. Например (тем более, что частично это уже реализовано), навскидку (и не забывайте соответствующий информационный фон):
                                      - возврат НДС покупателю
                                      - защита от рейда - включение организаций-лицензиантов в стратегический актив с передачей (в случае банкротства) в гос. собственность и невозможностью дальнейшей приватизации в течении 3-5 лет (или еще что-то, но это уже нужен диалог с собственниками)
                                      - включением СЗИ/СКЗИ в актив организации и уменьшением на него налогооблагаемой базы
                                      - другие преференции лицензиатам...
                                      4. Регулируемые меры вводить постепенно с четко прописанными сроками введения
                                      5. Создать и пустить на рынок низкобюджетные коробочные СКЗИ (ПО в которое пользователь не имеет возможности внести изменения и аппаратных "черных ящиков") временной стойкости, покупателю которых не потребуется прохождение процедуры лицензирования
                                      6. Наконец-то начать выполнять ст.3 184-ФЗ 2002 в части "недопустимости совмещения полномочий органа государственного контроля (надзора) и органа по сертификации"
                                      7. "Выращивать потребителя":
                                      - приучение к сертифицированным СЗИ/СКЗИ со школы/ВУЗа. В том числе безвозмездные поставки продуктов и обучающего персонала в данные учебные заведения
                                      - продажа сертифицированных продуктов по конкурентоспособным ценам, вплоть до демпинга (с компенсацией убытков производителям)
                                      - создание градации лицензирования, где на нижнем уровне потребления будет крайне упрощенная система лицензирования (вплоть до декларирующей)
                                      8. Приостановить и выправить тот развал, что творится в области ГТ. До тех пор, пока существует "этот дурной пример" невозможно говорить о действительной заинтересованности в защите менее критичных сведений.
                                      9. Признать, что выполнение распоряжения Правительства Российской Федерации от 15 августа 2007г. № 1055Р, в установленные сроки, не выполнено.

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        И что? Передеча ПДн остается? Да. Следовательно, попали под раздачу ;-)
                                        К3 максимум и от сертифицированных СКЗИ ушли полностью

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          У нас также в России есть контроль и запрет продажи "нелицензионного" алкоголя. И что? Хороший продают, с плохим борются. И никто не считает свои права ущемленными. Тоже будет и с криптухой.
                                          (благодарно) Спасибо, что в заботе о здоровье потребителей Роспотребнадзор не утвердил точный перечень сортов алкоголя, качество которого который он умеет контролировать и потому не считает априори "плохим"

                                          Комментарий


                                          • #22
                                            Сообщение от Toparenko Посмотреть сообщение
                                            Предлагаю: [skip]
                                            А по персданным-то что?

                                            Комментарий


                                            • #23
                                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                                              А по персданным-то что?
                                              Я глубоко сомневаюсь, что будет сделано хоть часть из предложенного мной из общего.
                                              Переписать частный случай за неделю, даже на уровне драфта не успею. Тем более, что я считаю необходимым открытое обсуждение (или хотя бы на уровне экспертного форума), и это дело не одного месяца (в свое время нормативный приказ министра экспертная группа представителей отделов переделывала порядка года)

                                              Комментарий


                                              • #24
                                                Мои предложения прикреплены в виде файла PDF (если потребуется, могу выслать в формате WinWord).

                                                Комментарий


                                                • #25
                                                  Сообщение от Toparenko Посмотреть сообщение
                                                  Я глубоко сомневаюсь, что будет сделано хоть часть из предложенного мной из общего.
                                                  Мне кажется, что лучше сначала предложить что-то, а потом критиковать, что не включили предложения, чем критиковать, ссылаясь на то, что ты не веришь, что что-то будет сделано. Лучше тогда вообще не критиковать.

                                                  Это сугубо мое имхо, но сейчас есть возможность повлиять на ситуацию. В отличие от ФСТЭК, которая не готова не то, что обсуждать, но даже принимать критику, ФСБ сама предложила присылать ей замечания и рекомендации. Уже этот уровень открытости (по сравнению с тем, что было раньше) стоит многого.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    Мои предложения прикреплены в виде файла PDF (если потребуется, могу выслать в формате WinWord).
                                                    Серьезно к вопросу подошел

                                                    Я ограничился только предложением убрать обязательное использование сертифицированных СКЗИ для защиты от нарушителя уровня Н1 или внести перечень исключений - как в положении о лицензировании..

                                                    Комментарий


                                                    • #27
                                                      Три дня, засыпая, писал )))) Мои предложения по многим вопросам не совпадают с предложениями Алексея, что вполне объясняется разницей в месте получения ВО и местом жительства/работы
                                                      Мои предложения появились на основе работы с органами государственной власти, коммерческие организации пока не обращаются.
                                                      Понимаю, что мои предложения сильно отличаются от документов ФСБ по ПДн, но то что родилось, на мой взгляд, больше подходит для защиты ПДн в условиях отсутствия специалистов по этим вопросам в большинстве организаций в регионах. Формат rtf в zip. Дубль отправил по e-mail.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от malotavr Посмотреть сообщение
                                                        Серьезно к вопросу подошел
                                                        Да нет ;-) Просто сел и потратил два час на прочтение от и до ;-) По ходу и всплыли предложения ;-) Часть из них стала следствием запросов наших заказчиков, часть - я попробовал примерить данные требования к своей компании ;-)

                                                        Сообщение от malotavr Посмотреть сообщение
                                                        Я ограничился только предложением убрать обязательное использование сертифицированных СКЗИ для защиты от нарушителя уровня Н1 или внести перечень исключений - как в положении о лицензировании..
                                                        Ну это ключевое замечание. Плюс дифференция в зависимости от масштаба. Но раз уж есть возможность что-то поправить, почему бы не предложить все.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от ZZubra Посмотреть сообщение
                                                          Мои предложения по многим вопросам не совпадают с предложениями Алексея, что вполне объясняется разницей в месте получения ВО и местом жительства/работы
                                                          Я отмечу, что часть твоих предложений, имхо, сразу не пройдет ;-(

                                                          Отказаться от модели угроз - нереально. Тем более, что это полезный инструмент и позволяет уйти от параноидальных требований по ИБ.

                                                          Добавить требования ФСБ к требования ФСТЭК еще более нереально, т.к. эти структуры никогда не придут к реальному сотрудничеству ;-(

                                                          Насчет определения классов вообще отдельная тема. Андрей Петрович Курило любит приводить такой пример. Служба в церкви. Прямой репортаж по ТВ. Кто-нибудь из показываемых по HDTV людей давал добро на трансляцию своих биометрических ПДн о религиозной принадлежности? А это один из самых сложных случаев обработки ПДн - договора нет, специальная категория ПДн, 1-я категория ПДн (можно, конечно, попробовать 151 ГК прицепить, но есть особенности). А ты предлагаешь КС3. Представляешь к каждому телевизору приставочку в виде сертифицированного шифратора... ;-)

                                                          Предложение "Допускается осуществление услуг генерации ключевой информации, распространение и обслуживание СКЗИ возлагать на специализированные организации, имеющие необходимые лицензии" уже есть в документах ФСБ ;-)

                                                          ЗЫ. И меня покритикуй. Интересно, чем защита ПДн в коммерческих организациях отличается от государственных...

                                                          Комментарий


                                                          • #30
                                                            Я с уверенностью в 100% скажу что основные моменты не пройдут
                                                            Но я их озвучу, вдруг когда-нибудь кто-нибудь и учтет. В свое время я слышал байку про ПЭМИН в ФСБ. Что-то типа "что бы определить оценочный показатель надо перемножить измеренный уровень на гриф секретности и поделить на 23". И нечего голову ломать Специалистов по составлению модели нарушителя в том виде в котором она есть, по всей России (исключая само ФСБ, которое ничего делать наружу не будет) единицы. А защищать надо очень много. Потому и методика должна быть наипростейшая.
                                                            И еще. Навскидочку назовите мне по одному СЗИ: средства специальной защиты от утечки по ПЭМИН класса КС и от НСД класса АК1-3. А мы еще не знаем какие у этих СЗИ требования. И насколько они жестче требований ФСТЭК.

                                                            ФСТЭК и ФСБ конечно не подружаться. Есть потаенная мечта, что когда-нибудь подразделения ФСТЭК по защите информации отдадут в подчинение ФСБ. Как это произошло с ФАПСИ и криптографией.

                                                            Сотрудничество ФСТЭК и ФСБ: ну трехсторонний приказ то появился.

                                                            Вопрос с примером Курилко решается один раз в судебном порядке до решения верховного суда. Но по моему мнению, СМИ в такой ситуации победит всегда. А еще их поддержит Церковь (без таких передач ей тяжко будет). И верующий против Церкви вряд ли пойдет.

                                                            По гос и комерческие учреждения: Указ Президента №334:
                                                            В целях обеспечения безусловного исполнения Закона Российской Федерации "О федеральных органах правительственной связи и информации" а также усиления борьбы с организованной преступностью и повышения защищенности информационно - телекоммуникационных систем органов государственной власти, российских кредитно-финансовых структур, предприятий и организаций постановляю:
                                                            2. Запретить использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.


                                                            И финансирование: комммерческая организация будет биться за свои кровные до упора, а в гос учреждении "надо так надо" и деньги уже ВТОРОЙ вопрос.

                                                            По анализу твоих предложений - попробую, но реально не хватает времени.

                                                            Комментарий

                                                            Обработка...
                                                            X